シマンテックは12月16日、日本のユーザーを狙ったランサムウェアを確認したと、ブログで明かした。

ランサムウェアによる攻撃件数の国別内訳(2014年11月)

今回見つかったのは「TorLocker」の亜種で、日本語にローカライズされたものが使われている。TorLockerの亜種は、主に侵入先のコンピュータ上で特定の拡張子が付いたファイルを暗号化し、ファイルを復号するために身代金を支払うよう要求してくる。

そもそもTorLockerは、世界中で多く出回っているランサムウェア。その理由は、攻撃者がプログラムを比較的入手しやすいという点にある。

プログラムの配布元は営利目的で、カスタムのランサムウェアを作成するビルダー、感染を追跡するコントロールパネルへのアクセス、マルウェアと連携する各種ファイルをキットにして提供している。提供を受けた攻撃者は、ランサムウェア攻撃で得た利益の一部を配布元に支払うという仕組みだ。

国内におけるTorLockerの亜種の攻撃は、ブログのホストであるWebサイト上で見つかった。正確な侵入経路などはまだわかっていない。シマンテックは、攻撃者はソフトウェアの脆弱性を悪用し、自動的に標的のコンピュータに侵入したと推測している。

また、AdobeのFlash Playerの配布ページを装ったケースもある。 偽のWebページ内のインストールボタンをクリックすると、設定ファイルをダウンロードして実行するよう求められる。このとき、ファイルのアイコンは、通常Flash Playerが使っているものではなく、しかもデジタル署名も付いていない。

偽の Adobe Flash Player インストーラページ

設定ファイルを実行しても、Flash Playerはインストールされることはない。代わりに、特定のファイルが暗号化され、コンピュータがロックされたことを伝える日本語のメッセージがポップアップウィンドウに表示される。

さらに、ファイルをアンロックするために身代金を支払うようにと日本語のメッセージが表示される。要求される金額はまちまちだが、4万円?30万円だという。

TorLocker ランサムウェアの亜種によって表示されるポップアップウィンドウ

シマンテックは、年末年始休暇で多くの人がネット利用が増えることに併せて、攻撃者も活発化すると指摘。自分のパソコンにセキュリティソフトをインストールして、しっかりと対策するように呼びかけている。